Piotr KUCHARSKI wrote:

>>Poza tym, mechanizm blackhole czasem jest osiągalny u
>>operatora upstream.
>
>
> To cenne, prawda. Choć wolałbym ATM-owy congestion control (propagowany
> w tył sieci, żeby wyciszać źródła). Idealnie by było, gdyby atakujący
> przestawali widzieć na najbliższym core routerze drogę do atakowanych
> sieci, a nie reszta internetu. No ale to raczej w sferze mrzonek. :/

Kłopot w tym, że to stoi w sprzeczności z obecnym paradygmatem
routowania w sieciach IP - konkretnie ograniczenia się do routingu
jedynie według destination address, ignorując resztę nagłówka IP, w
szczególności source. I żaden policy-routing tu nie pomoże, bo -
pomijając inne problemy - nie ma w powszechnym użyciu dynamicznego
protokołu routingu, który by to wspierał.
(Napisałem oględnie, ale akurat nie przypominam sobie by w ogóle istniał
jakiokolwiek protokół wspierający routowanie IP z uwzględnieniem adresów
źródłowych.)

Co do congestion control, to nie jest on dobrze zaimplementowany nawet
na wiekszości urządzeń ATM. Często producenci zakładają, że tylko strona
otrzymująca takie powiadomienia wyhamuje transmisję, a reszta sieci
liczy na jej dobrą wolę. No, jeśli ktoś wykonuje atak, to raczej się nie
dostosuje do tych komunikatów...